虚拟专用网使用身份认证、数据的完整性验证、数据内容加密、抗重播保护等技术为数据传输提供了安全通道,然而,如果接入虚拟专网的终端节点自身存在着安全风险,或者存在恶意行为,即使这些节点通过了身份认证,在安全通道上传输的数据也可能是不安全的,因此,需要对终端进行安全接入保护。在对目前流行的各种终端安全接入技术进行深入分析的基础上,结合虚拟专网自身的特点,提出了虚拟专网安全准入控制的思想,并给出了一种基于Windows平台NDIS框架的虚拟专网安全准入控制的实现方案。这种方案的主要思想是:安全策略服务器根据实际安全需求产生具体的安全策略,并将其下发到终端,之后终端根据安全策略提供各种终端控制功能,如访问控制、接入控制、设备控制、漏洞扫描、安全审计、病毒防范、威胁防御、主机完整性控制等功能。其中,访问控制提供对终端应用程序访问网络的规则控制和对终端IP报文的访问控制;接入控制提供对系统安全性的检查,阻止不符合具体安全策略的终端接入,从而避免安全风险;设备控制为存在高安全级的场景提供串、并口设备和USB设备的控制功能。其主要实现技术是:使用NDIS-Hook技术对报文进行过滤;使用服务提供者接口技术SPI对应用程序访问网络进行控制;使用Windows管理规范WMI等各种技术对系统安全性进行检查。